Какие security headers должны быть в baseline?

Как минимум: HSTS, X-Content-Type-Options, X-Frame-Options (или CSP frame-ancestors), Referrer-Policy, Permissions-Policy. В некоторых случаях — COOP/CORP/COEP.

Можно просто включить строгий CSP и забыть?

CSP требует аккуратной настройки под реальные источники скриптов/ресурсов. Строгий профиль — хороший старт, но его нужно адаптировать, иначе есть риск сломать функциональность.

Где применять сгенерированные заголовки?

На уровне reverse proxy (nginx), CDN (Cloudflare) или в приложении. Важно применять их к нужным маршрутам и учитывать разные окружения.

Генератор Security Headers: HSTS, CSP и др.

Что такое security headers

Security headers — HTTP‑заголовки ответа, которые усиливают защиту в браузере (XSS, clickjacking, утечки referrer) и закрепляют безопасные правила обработки страницы. Этот генератор создаёт готовый набор заголовков под профили baseline/strict.

Где это используется

Security headers применяются на публичных веб‑страницах и в SPA, в личных кабинетах и админках, на страницах оплаты, а также на любых доменах/поддоменах, которые отдают HTML в браузер. На практике заголовки часто выставляются на уровне CDN/прокси (Cloudflare, nginx, ingress), поэтому ими удобно управлять “как конфигом” и проверять на регресс.

Что генерирует этот инструмент

Baseline: безопасный минимум для большинства сайтов.
Strict: более строгий профиль + пример CSP. Обычно требует адаптации под конкретный проект.

Что выбрать: baseline или strict

Baseline подходит, чтобы быстро закрыть базовую “гигиену” (HSTS, anti‑clickjacking, nosniff, referrer policy). Strict — это шаг дальше: больше ограничений и пример CSP. В строгом профиле чаще всего приходится добавлять домены CDN/аналитики и аккуратно настраивать CSP, чтобы не сломать фронтенд.

Куда вставлять заголовки

nginx / reverse‑proxy: удобно для всего домена и поддоменов.
Cloudflare / CDN: быстро и централизованно, но важно не забыть про разные зоны/поддомены.
Код приложения: middleware фреймворка (когда нужно выставлять заголовки точечно по роутам).

Типовые ошибки, из‑за которых “security headers не работают”

Редиректы: заголовки есть на конечной странице, но отсутствуют на 301/302 (или наоборот).
Разные домены: www и без www, отдельный домен для статики/CDN — заголовки настроены не везде.
Несогласованная CSP: фронтенд грузит ресурсы с доменов, которые не разрешены политикой.
Перетирание на прокси: один слой добавляет заголовок, другой удаляет/заменяет.

Подробнее: что входит в минимум и как внедрять

Что обычно входит в «безопасный минимум»

HSTS: закрепляет HTTPS и уменьшает риск downgrade/SSL stripping.
X-Content-Type-Options: nosniff против MIME sniffing.
X-Frame-Options / frame-ancestors в CSP: защита от clickjacking.
Referrer-Policy: уменьшает утечки URL/параметров.
Permissions-Policy: отключает лишние браузерные API.

Куда вставлять заголовки

nginx: add_header ... always;
Cloudflare: Transform Rules / Response headers
Приложение: middleware/фреймворк (Node/Java/.NET/Python)

Важно про CSP

CSP из строгого профиля — это стартовая заготовка. Для продакшна обычно добавляют разрешённые домены (CDN, аналитика), nonce/sha для inline‑скриптов и тестируют в режиме Content-Security-Policy-Report-Only.

Генератор Security Headers

Профиль заголовков

Что такое security headers

Где это используется

Что генерирует этот инструмент

Что выбрать: baseline или strict

Куда вставлять заголовки

Типовые ошибки, из‑за которых “security headers не работают”

Что обычно входит в «безопасный минимум»

Куда вставлять заголовки

Важно про CSP

Полезные ссылки